Backdoor.Win32.Sinowal.a w MBR

edytom · 30 Marzec 2008 17:58

Witam.

Mam konia trojańskiego Backdoor.Win32.Sinowal.a w Sektorze dysku fizycznego: \Device\Harddisk1\DR1

Kaspersky mi go wykrywa i usuwa ale tylko do następnego uruchomienia komputera i po restarcie jest znowu, próbowałem już kilku innych programików typu Doctor Spywaere, AdAdvare, Panda itp i jak narazie nic z tego, konik nadal na stanowisku

Proszę o pomoc jak sie tego ******** pozbyć

Dzięki za pomoc.

tAAz · 30 Marzec 2008 18:03

Daj loga z HijackThis i ComboFix (instrukcja: viewtopic.php?f=16&t=36654 )

Leon1 · 30 Marzec 2008 18:05

Pokaż raport Kasperskiego

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

edytom · 30 Marzec 2008 19:04

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 21:03:30, on 2008-03-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Wintab32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ZPOINT32.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\WINDOWS\System32\GEARSec.exe

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Common Files\Protexis\License Service\PSIService.exe

C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Miranda IM\miranda32.exe

C:\Program Files\Total Commander\TOTALCMD.EXE

E:\programy\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe”

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [ZPOINT32] C:\WINDOWS\system32\ZPOINT32.exe

O4 - HKLM…\Run: [iSUSPM Startup] “C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe” -startup

O4 - HKLM…\Run: [iSUSScheduler] “C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” -start

O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe”

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O17 - HKLM\System\CCS\Services\Tcpip…{6313D221-61BC-4F72-9A5D-104452C98309}: NameServer = 194.204.152.34,212.191.132.126

O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\Program Files\Common Files\Protexis\License Service\PSIService.exe

O23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

O23 - Service: Wintab32 - Unknown owner - C:\WINDOWS\system32\Wintab32.exe

–

End of file - 4472 bytes

huber2t · 30 Marzec 2008 19:08

Log jest czysty podaj log z Combofix i Pokaż raport Kasperskiego

edytom · 30 Marzec 2008 20:43

Ochrona : uruchomiono

Przeskanowanych: 13402

Wykrytych: 3

Nieprzetworzonych: 0

Uruchomiono: 2008-03-30 21:48

Czas działania: 00:53:56

Wykrytych

Stan Obiekt

wyleczony: Koń trojański Backdoor.Win32.Sinowal.a Sektor dysku fizycznego: \Device\Harddisk1\DR1

usunięto: wirus EICAR-Test-File Plik: C:\DOCUME~1\pixel\USTAWI~1\Temp\Av-test.txt

nie odnaleziono: wirus Heur.Invader (modyfikacja) Plik: e:\programy\combofix.exe//PE_Patch.UPX/327882R2FWJFW\catchme.cfexe

Zdarzenia

Czas Zdarzenie

2008-03-30 21:08 Niektóre usługi ochrony są wyłączone. Zalecane jest ich włączenie.

2008-03-30 21:08 Ochrona komputera jest wyłączona. Zalecane jest włączenie ochrony.

2008-03-30 21:09 Zalecane jest wykonanie pełnego skanowania komputera.

2008-03-30 21:09 Ochrona komputera jest wyłączona. Zalecane jest włączenie ochrony.

2008-03-30 21:09 Ochrona komputera jest włączona.

2008-03-30 21:10 Ochrona komputera nie jest uruchomiona. Zalecane jest wznowienie jej działania.

2008-03-30 21:11 Zalecane jest wykonanie pełnego skanowania komputera.

2008-03-30 21:11 Ochrona komputera jest włączona.

2008-03-30 21:13 Sektor dysku fizycznego \Device\Harddisk1\DR1: wykryto: Koń trojański ‘Backdoor.Win32.Sinowal.a’.

2008-03-30 21:13 Wykryto zagrożenia. Zalecana jest ich natychmiastowa neutralizacja.

2008-03-30 21:13 Sektor dysku fizycznego \Device\Harddisk1\DR1: jest ciągle zainfekowany, odroczony.

2008-03-30 21:13 Sektor dysku fizycznego \Device\Harddisk1\DR1: wykryto: Koń trojański ‘Backdoor.Win32.Sinowal.a’.

2008-03-30 21:13 Wykryto zagrożenia. Zalecana jest ich natychmiastowa neutralizacja.

2008-03-30 21:13 Sektor dysku fizycznego \Device\Harddisk1\DR1: jest ciągle zainfekowany, odroczony.

2008-03-30 21:13 Sektor dysku fizycznego \Device\Harddisk1\DR1: wykryto: Koń trojański ‘Backdoor.Win32.Sinowal.a’.

2008-03-30 21:14 Sektor dysku fizycznego \Device\Harddisk1\DR1: wykryto: Koń trojański ‘Backdoor.Win32.Sinowal.a’.

2008-03-30 21:14 Sektor dysku fizycznego \Device\Harddisk1\DR1: wyleczono.

2008-03-30 21:14 Aplikacja C:\Program Files\Gadu-Gadu\gg.exe nie może nawiązać połączenia z serwerem 91.197.13.27. Sprawdź ustawienia połączenia internetowego. Jeżeli na komputerze jest zainstalowana zapora sieciowa, sprawdź czy aplikacja avp.exe posiada możliwość nawiązywania połączeń sieciowych.

2008-03-30 21:37 Sektor dysku fizycznego \Device\Harddisk1\DR1: wykryto: Koń trojański ‘Backdoor.Win32.Sinowal.a’.

2008-03-30 21:37 Wykryto zagrożenia. Zalecana jest ich natychmiastowa neutralizacja.

2008-03-30 21:37 Sektor dysku fizycznego \Device\Harddisk1\DR1: jest ciągle zainfekowany, odroczony.

2008-03-30 21:37 Sektor dysku fizycznego \Device\Harddisk1\DR1: wykryto: Koń trojański ‘Backdoor.Win32.Sinowal.a’.

2008-03-30 21:37 Sektor dysku fizycznego \Device\Harddisk1\DR1: wyleczono.

2008-03-30 21:41 Plik C:\DOCUME~1\pixel\USTAWI~1\Temp\Av-test.txt: wykryto: wirus ‘EICAR-Test-File’.

2008-03-30 21:41 Wykryto zagrożenia. Zalecana jest ich natychmiastowa neutralizacja.

2008-03-30 21:42 Plik C:\DOCUME~1\pixel\USTAWI~1\Temp\Av-test.txt: usunięto.

2008-03-30 21:48 Zalecane jest wykonanie pełnego skanowania komputera.

2008-03-30 21:48 Ochrona komputera jest włączona.

2008-03-30 21:51 Sektor dysku fizycznego \Device\Harddisk1\DR1: wykryto: Koń trojański ‘Backdoor.Win32.Sinowal.a’.

2008-03-30 21:51 Wykryto zagrożenia. Zalecana jest ich natychmiastowa neutralizacja.

2008-03-30 21:51 Sektor dysku fizycznego \Device\Harddisk1\DR1: jest ciągle zainfekowany, odroczony.

2008-03-30 21:51 Sektor dysku fizycznego \Device\Harddisk1\DR1: wykryto: Koń trojański ‘Backdoor.Win32.Sinowal.a’.

2008-03-30 21:51 Sektor dysku fizycznego \Device\Harddisk1\DR1: wyleczono.

2008-03-30 22:41 Plik e:\programy\combofix.exe//PE_Patch.UPX/327882R2FWJFW\catchme.cfexe: wykryto modyfikację wirus ‘Heur.Invader’.

2008-03-30 22:41 Wykryto zagrożenia. Zalecana jest ich natychmiastowa neutralizacja.

2008-03-30 22:41 Sektor dysku fizycznego \Device\Harddisk1\DR1: wykryto: Koń trojański ‘Backdoor.Win32.Sinowal.a’.

2008-03-30 22:41 Sektor dysku fizycznego \Device\Harddisk1\DR1: jest ciągle zainfekowany, odroczony.

2008-03-30 22:41 Sektor dysku fizycznego \Device\Harddisk1\DR1: wykryto: Koń trojański ‘Backdoor.Win32.Sinowal.a’.

2008-03-30 22:41 Sektor dysku fizycznego \Device\Harddisk1\DR1: wyleczono.

Raporty

Składnik Stan Uruchom Zakończ Rozmiar

Ochrona proaktywna uruchomiono 2008-03-30 21:48 0 bajtów

Ochrona poczty uruchomiono 2008-03-30 21:48 10.3 kB

Ochrona plików uruchomiono 2008-03-30 21:48 1.2 MB

Ochrona WWW uruchomiono 2008-03-30 21:48 550.3 kB

Skanowanie obiektów startowych zakończono 2008-03-30 21:50 2008-03-30 21:51 423.8 kB

Skanowanie obszarów krytycznych zakończono 2008-03-30 22:40 2008-03-30 22:41 753.3 kB

Kwarantanna

Stan Obiekt Rozmiar Dodany

Kopia zapasowa

Stan Obiekt Rozmiar

Zainfekowany: wirus EICAR-Test-File C:\DOCUME~1\pixel\USTAWI~1\Temp\Av-test.txt 72 bajtów

edytom · 30 Marzec 2008 20:51

ComboFix 08-03-30.2 - pixel 2008-03-30 22:45:45.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.1660 [GMT 2:00]

Running from: E:\programy\ComboFix.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\pixelweb\Dane aplikacji\Install.dat

.

((((((((((((((((((((((((( Files Created from 2008-02-28 to 2008-03-30 )))))))))))))))))))))))))))))))

.

2008-03-30 19:02 . 2008-03-30 19:22

2008-03-30 19:02 . 2008-03-30 19:21

2008-03-30 18:45 . 2004-08-03 23:08 26,496 --a–c— C:\WINDOWS\system32\dllcache\usbstor.sys

2008-03-30 18:43 . 2008-03-30 18:43

2008-03-30 13:58 . 2008-03-30 18:41

2008-03-30 13:51 . 2008-03-30 18:41

2008-03-30 12:56 . 2008-03-30 12:56

2008-03-30 10:57 . 2008-03-30 10:57

2008-03-30 03:52 . 2008-03-30 18:43

2008-03-30 03:49 . 2008-03-30 03:49 1,158 --a------ C:\WINDOWS\mozver.dat

2008-03-30 03:48 . 2008-03-30 03:48 0 --a------ C:\WINDOWS\nsreg.dat

2008-03-30 03:47 . 2008-03-30 03:47

2008-03-30 03:44 . 2008-03-30 03:44 13,692 --a------ C:\WINDOWS\system32\wpa.bak

2008-03-30 03:35 . 2008-03-30 03:35

2008-03-30 03:32 . 2008-03-30 03:32

2008-03-30 03:30 . 2005-04-28 03:37 77,824 -ra------ C:\WINDOWS\system32\hpzids01.dll

2008-03-30 03:30 . 2005-04-08 19:44 45,056 --a------ C:\WINDOWS\system32\hpzll3xu.dll

2008-03-30 03:18 . 2004-11-18 10:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2008-03-30 03:07 . 2004-08-03 23:10 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys

2008-03-30 03:07 . 2004-08-03 23:10 17,024 --a–c— C:\WINDOWS\system32\dllcache\ccdecode.sys

2008-03-30 03:07 . 2004-08-03 22:58 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys

2008-03-30 03:07 . 2004-08-03 22:58 7,552 --a–c— C:\WINDOWS\system32\dllcache\mskssrv.sys

2008-03-30 03:07 . 2004-08-03 22:58 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys

2008-03-30 03:07 . 2004-08-03 22:58 5,376 --a–c— C:\WINDOWS\system32\dllcache\mspclock.sys

2008-03-30 03:07 . 2004-08-03 22:58 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys

2008-03-30 03:07 . 2004-08-03 22:58 4,992 --a–c— C:\WINDOWS\system32\dllcache\mspqm.sys

2008-03-30 03:06 . 2008-03-30 03:06

2008-03-30 03:06 . 2008-03-30 03:07 8 --a------ C:\WINDOWS\system32\nvModes.dat

2008-03-30 03:05 . 2008-03-30 03:05

2008-03-30 03:05 . 2007-07-12 11:03 12,288 --a------ C:\WINDOWS\system32\drivers\EIO.sys

2008-03-30 02:57 . 2008-03-30 02:57

2008-03-30 02:55 . 2008-03-30 02:55

2008-03-30 02:44 . 2008-03-30 02:44

2008-03-30 02:44 . 1998-04-25 21:49 299,520 --a------ C:\WINDOWS\uninst.exe

2008-03-30 02:39 . 2008-03-30 02:39

2008-03-30 02:39 . 2008-03-30 21:50 2,828 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys

2008-03-30 02:39 . 2008-03-30 21:50 88 -r-hs---- C:\WINDOWS\system32\2F89DCBE68.sys

2008-03-30 02:37 . 2008-03-30 02:37

2008-03-30 02:36 . 2008-03-30 02:36

2008-03-30 02:35 . 2008-03-30 02:35

2008-03-30 02:32 . 2001-08-17 23:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys

2008-03-30 02:31 . 2004-08-04 02:44 77,312 --a------ C:\WINDOWS\system32\usbui.dll

2008-03-30 02:31 . 2004-08-04 02:35 58,624 --a------ C:\WINDOWS\system32\drivers\redbook.sys

2008-03-30 02:31 . 2004-08-04 01:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2008-03-30 02:30 . 2008-03-30 02:30

2008-03-30 02:29 . 2008-03-30 02:29

2008-03-30 02:28 . 2008-03-30 02:28

2008-03-30 02:28 . 2008-03-30 01:53

2008-03-30 02:28 . 2008-03-30 02:28

2008-03-30 02:28 . 2008-03-30 02:37

2008-03-30 02:28 . 2008-03-30 19:22

2008-03-30 02:28 . 2008-03-30 03:44

2008-03-30 02:28 . 2008-03-30 02:45

2008-03-30 02:28 . 2008-03-30 19:02

2008-03-30 02:26 . 2008-03-30 01:58 261 --a------ C:\WINDOWS\system32$winnt$.inf

2008-03-30 02:25 . 2007-10-26 09:04 3,945,768 --a------ C:\WINDOWS\system32\AdvrCntr3D6E0B790.dll

2008-03-30 02:25 . 2007-10-26 09:05 1,180,968 --a------ C:\WINDOWS\system32\ShellManager310E2D762.dll

2008-03-30 02:25 . 2008-03-27 19:59 1,152,000 --a------ C:\WINDOWS\system32\rollback.db

2008-03-30 02:25 . 2007-10-25 18:27 750,592 --a------ C:\WINDOWS\system32\NEROINSTAEC43759.DB

2008-03-30 02:24 . 2008-03-30 02:24

2008-03-30 02:17 . 2003-11-30 18:54 876,544 --a------ C:\WINDOWS\system32\lcs.cpl

2008-03-30 02:17 . 2002-03-22 03:07 114,688 --a------ C:\WINDOWS\system32\wintab32.exe

2008-03-30 02:17 . 2002-03-22 03:07 65,536 --a------ C:\WINDOWS\system32\wintab32.dll

2008-03-30 02:17 . 2002-03-22 03:07 28,992 --a------ C:\WINDOWS\system32\wintab.dll

2008-03-30 02:17 . 2002-03-22 03:07 24,064 --a------ C:\WINDOWS\system32\drivers\w2acehid.sys

2008-03-30 02:17 . 2002-07-04 14:49 20,480 --a------ C:\WINDOWS\system32\zpoint32.exe

2008-03-30 02:17 . 2002-03-22 03:07 12,800 --a------ C:\WINDOWS\system32\drivers\wtcls2k.sys

2008-03-30 02:17 . 2008-03-30 21:48 745 --a------ C:\WINDOWS\WINTAB.INI

2008-03-30 02:14 . 2008-03-30 02:14

2008-03-30 02:13 . 2008-03-30 02:19

2008-03-30 02:12 . 2008-03-30 22:45 1,354 --a------ C:\WINDOWS\WINCMD.INI

2008-03-30 02:11 . 2007-07-26 17:15 53,248 --a------ C:\WINDOWS\system32\CSVer.dll

2008-03-30 02:10 . 2008-03-30 03:32 15,600 --a------ C:\WINDOWS\gdrv.sys

2008-03-30 02:09 . 2008-03-30 02:09

2008-03-30 02:08 . 2007-07-12 11:03 5,422,080 --a------ C:\WINDOWS\system32\ATKOSDX32.dll

2008-03-30 02:07 . 2007-06-28 18:43 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe

2008-03-30 02:07 . 2008-03-30 02:07 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat

2008-03-30 02:07 . 2008-03-30 02:07 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat

2008-03-30 02:07 . 2007-06-28 18:43 17,463 --a------ C:\WINDOWS\system32\nvdisp.nvu

2008-03-30 02:06 . 2008-03-30 02:06

2008-03-30 02:06 . 2008-03-30 21:48

2008-03-30 02:06 . 2008-03-30 21:10 27,575,328 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-03-30 02:06 . 2008-03-30 22:48 1,075,488 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-03-30 02:06 . 2007-06-29 02:54 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE

2008-03-30 02:06 . 2008-03-30 21:10 132,692 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-03-30 02:06 . 2008-03-30 21:10 104,696 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

2008-03-30 02:00 . 2008-03-30 02:28

2008-03-30 02:00 . 2008-03-30 19:20

2008-03-30 02:00 . 2008-03-30 02:32

2008-03-30 02:00 . 2008-03-30 22:42

2008-03-30 02:00 . 2008-03-30 11:32

2008-03-30 02:00 . 2008-03-30 19:05

2008-03-30 02:00 . 2008-03-30 10:57

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-30 19:35 478 ----a-w C:\Program Files\Skrót do Asystent4.lnk

2008-03-30 19:35 478 ----a-w C:\Program Files\Skrót (2) do Asystent4.lnk

2008-03-30 01:19 315,392 ----a-w C:\WINDOWS\HideWin.exe

2008-03-18 00:29 --------- d-----w C:\Program Files\microsoft frontpage

2008-03-18 00:28 --------- d-----w C:\Program Files\Usługi online

2008-03-17 18:38 --------- d-----w C:\Program Files\Common Files\InstallShield

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe” [2007-10-23 15:18 202024]

“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2004-09-28 11:49 774144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“AVP”=“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe” [2008-02-08 19:36 227856]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-06-28 18:43 8466432]

“nwiz”=“nwiz.exe” [2007-06-28 18:43 1626112 C:\WINDOWS\system32\nwiz.exe]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-06-28 18:43 81920]

“ZPOINT32”=“C:\WINDOWS\system32\ZPOINT32.exe” [2002-07-04 14:49 20480]

“ISUSPM Startup”=“C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe” [2005-08-11 17:30 249856]

“ISUSScheduler”=“C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” [2005-08-11 17:30 81920]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2006-03-02 14:00 15360]

C:\Documents and Settings\Administrator.PIXELWEB-D60BB5\Menu Start\Programy\Autostart\

OpenOffice.ux.pl 2.2.1.lnk - C:\Program Files\OpenOffice.ux.pl 2.2.1\program\quickstart.exe [2007-07-10 00:18:48 17408]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Miranda IM\miranda32.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys [2003-06-03 15:52]

R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys [2003-06-03 15:52]

R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-07-12 11:03]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28]

R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-07-12 11:03]

R3 W2acehid;Acecad HID;C:\WINDOWS\system32\DRIVERS\W2acehid.sys [2002-03-22 03:07]

R3 Wtcls2k;Wtcls2k;C:\WINDOWS\system32\DRIVERS\Wtcls2k.sys [2002-03-22 03:07]

S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2008-03-30 03:32]

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-30 22:48:35

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-03-30 22:48:59

ComboFix-quarantined-files.txt 2008-03-30 20:48:57

Pre-Run: 82,148,339,712 bajtów wolnych

Post-Run: 82,140,336,128 bajtów wolnych

Leon1 · 31 Marzec 2008 14:56

Log czysty

musisz dokładnie to poczytać może uda się usunąć

WIRUSY MBR http://www.searchengines.pl/Wirusy-MBR-i-BIOS-t87162.html

Gutek · 31 Marzec 2008 19:06

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350